微软与公民实验室联手揪出骇客公司Candiru打造的间谍软件DevilsTongue

加拿大多伦多大学Munk全球事务学院旗下跨学科实验室Citizen Lab与微软本周揭露了另一个来自以色列的间谍软件DevilsTongue，它能够感染与监控iPhone、Android手机、Mac、Windows PC及云端账号，全球已有超过100名受害者，是由一家神秘的骇客公司骇客公司Candiru所打造。

DevilsTongue最早是由网络犯罪分析机构Team Cymru的遥测所发现，再由Citizen Lab出面向受害者取得被感染的硬盘并复制了DevilsTongue，再交给微软进行分析。

DevilsTongue开采多个零时差漏洞

根据微软的调查，DevilsTongue攻击程式串连了浏览器与Windows操作系统的多个零时差漏洞，其中有两个漏洞是微软甫于今年7月修补的CVE-2021-31979与CVE-2021-33771。

其中，CVE-2021-31979为基于Windows NT之操作系统的整数溢位漏洞，可用来破坏邻近内存中的物件，将物件转成使用者模式至核心模式，以利骇客扩张权限；CVE-2021-31979起因于NTOS内的条件竞争，造成核心物件的释放后使用，释放后的内存被一个可控制的物件把持，同样可用来扩张权限。

此外，Citizen Lab则发现，Google在3月于Chrome中修补的CVE-2021-21166，以及6月修补的Chrome漏洞CVE-2021-30551皆已被骇客开采，相关攻击中用来散布恶意程式的9个网站中，有8个与Candiru的指纹匹配，相信这些恶意程式也与Candiru有关。

间谍能力强大

不管是微软或Citizen Lab都还在研究DevilsTongue的功能，初步调查显示它具备强大的间谍能力，包括基本的档案搜集、注册档查询、执行WMI命令与查询SQLite数据库等，它能同时从LSASS与浏览器中窃取受害者的凭证，从Chrome、IE、Firefox、Safari到Opera，甚至能够窃取加密传讯程式Signal中的对话。

此外，它还能自不同的浏览器取得Cookie，利用这些Cookie登入受害者所使用的网络服务以进一步搜集资讯，还能直接透过受害者电脑使用这些Cookie，涵盖脸书、Twitter、Gmail、Yahoo、Mail.ru、Odnoklassniki与Vkontakte，以读取讯息与照片，或是直接以受害者名义传递讯息。

此一讯息传递功能将允许骇客用来递送恶意程式予其它的攻击对象。

微软说，DevilsTongue功能强大，同时具备使用者模式与核心模式能力，也有厉害的防追踪与反分析能力，所有的元素都显示出DevilsTongue开发者非常专业，拥有撰写Windows恶意程式的丰富经验，也非常熟悉操作安全。

微软辨识出逾100名感染了DevilsTongue的受害者，有大约一半的受害者位于巴勒斯坦，其它的受害者则主要分布在以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚与新加坡，他们多半是人权斗士、异议份子、新闻记者、活动家或政治人物。

除了微软分析了Windows上的DevilsTongue之外，据说DevilsTongue也能用来感染与监控iPhone、Android、Mac及云端账号。

低调的Candiru

有别于另一家以色列骇客公司NSO Group，Candiru刻意保持低调。其实《Forbes》在2019年就曾报导过Candiru，发现Candiru虽然在2013年登记了官网，但3年后便把官网关闭。

除了没有官网之外，Citizen Lab的调查则显示，自2014年到2020年之间，Candiru总计换了5个公司名称，从Candiru、DF Associates、Grindavik Solutions、Taveta到Saito Tech。

image: Citizen Lab

不过，Citizen Lab依然从其它管道找到了Candiru的行销文件，显示它的主要客户为各国-，且售价昂贵。-只要支付1,600万欧元就能无限制地执行攻击与感染行动，但同时只能监控10个装置，若要同时监控15个装置，那么必须再额外支付150万欧元，但受监控的装置必须处于同一个国家。

image: Citizen Lab

另有一名Candiru前员工曾控告Candiru，法院文件揭露了Candiru在成立两年内就创下了3,000万美元的营收，据传客户包括乌兹别克、沙特阿拉伯与阿联酋、新加坡及卡达。

根据Citizen Lab的扫描，全球约有750个网站为Candiru的间谍软件架构的成员，且有不少网站冒充为各种倡议组织。

image: Citizen Lab